jueves, 12 de diciembre de 2019

Como mejorar la seguridad de un hosting WordPress

En la actualidad más del 34% de todo Internet está utilizando WordPress como gestor de contenidos, un proyecto Open Source que comenzaba en 2003 y que gracias a una vibrante comunidad de cientos de miles de desarrolladores y colaboradores que ofrecen su tiempo de forma voluntaria, sigue creciendo y desarrollándose. Su objetivo fundamental es el de democratizar la publicación web y convertirla en algo asequible para la mayoría de las empresas y usuarios, permite además que existan proveedores de hosting especializados en alojar proyectos WordPress, una especialización que en España apenas existía hace unos años.


Los proveedores de hosting especializados en WordPress, entre los que destaca la empresa búlgara SiteGround, tienen por definición encargarse de la gestión y administración de la infraestructura, del software y del aplicativo CMS de sus clientes. Facilitar una serie de servicios que permitan al cliente centrarse en el contenido, y en la gestión de aquellos plugins y plantillas que haya escogido para su proyecto en Internet.  Por otro lado, estar especializado en este CMS tiene también un aliciente extra en cuanto a la seguridad. Veamos por qué:




  • Actualmente, solo el 17,9% de las instalaciones de WordPress a nivel mundial están actualizadas a su última versión, la versión recomendada.

  • Solo el 12,9% de las instalaciones de WordPress a nivel mundial corren sobre la última versión de PHP. Aunque pronto podremos disfrutar de la última versión de PHP, la versión 7.4, más del 87% de las instalaciones están por debajo de la versión 7.3


Recordemos que un CMS como WordPress también incorpora plugins y temas. Piezas extra de software de mayor o menor calidad tanto en su programación, como en el soporte que se facilita a sus usuarios desde del desarrollador. Del 100% de las vulnerabilidades confirmadas en WordPress:



  • El 54% de las mismas están localizadas en los plugins

  • El 31,5% de las vulnerabilidades se encuentran en el núcleo de WordPress

  • El 14,5% se localizan en los temas.

  • Los ataques que más se producen en instalaciones de WordPress son Cross Site Scripting y SQL Injection.


Si a las anteriores estadísticas le añadimos además la falta de rigor a la hora de establecer contraseñas por parte de los usuarios, mantener seguras miles, cientos de miles, o millones de instalaciones de WordPress desde los proveedores de hosting especializados, se convierte en un magnífico reto. Y es aquí donde los proveedores de hosting especializados en WordPress tienen una gran responsabilidad, no solo como arquitectos y gestores de la infraestructura hardware o software a su cargo, sino también como evangelizadores de las buenas prácticas que todo usuario debe seguir para mantener su presencia corporativa sana en Internet.Las medidas mínimas actualmente para poder establecer un entorno adecuado para el alojamiento de WordPress, o de cualquier CMS, podría resumirse de la siguiente forma:


A nivel Data Center


Medidas frente a los ataques más comunes, como son los ataques de denegación de servicio (DDoS). Dispositivos hardware especializados, así como numerosos acuerdos con proveedores de conectividad, que permitan desviar el tráfico de forma correcta y mitigar de la mejor forma posible este tipo de ciberdelincuencia. Monitorización y vigilancia permanente y en tiempo real del tráfico interno del data center, tratando cada transacción, movimiento o interacción de datos, como si fuese una amenaza de forma preventiva.


A nivel servidor


Medidas de aislamiento web que eviten el acceso a ciberdelincuentes a entornos multi-cliente como las plataformas de hosting compartido. También se combate de esta forma que páginas web infectadas de algún usuario puedan afectar a su entorno, o que consuman un número excesivo de recursos que pueda afectar al resto de clientes. Últimas versiones de software de la totalidad de componentes del servidor son altamente recomendadas sino obligatorias.


A nivel aplicación


Puesta en marcha de medidas para evitar los ataques de fuerza bruta o diccionario por defecto en las instalaciones CMS de cada usuario. La autenticación y la administración de sesiones son el foco de los ciberdelincuentes, aunque no el único. La especialización en CMS conlleva un aprendizaje global que con los años va perfilando un servicio diferente a otros tipos de proveedores de hosting. Se invierten mucho tiempo y recursos en procurar un entorno que evite a los clientes tener que gestionar componentes hardware o software de sus proyectos, ésta es de por sí, la definición de servicios administrados. Para ello el servicio han de blindarse con las siguientes bondades:



  • Permisos: Utilidades que permitan a los usuarios actualizar todos los permisos de carpetas y ficheros de sus proyectos con la configuración adecuada en un único click.

  • Instalación automática y blindada de CMS: Incorporando por defecto en el proceso de alta automática del CMS opciones de securización, sin esperar a una instalación posterior por parte del usuario. Ya no es necesaria la invervención de un equipo de sistemas para poder instalar un CMS en un entorno seguro.

  • Backups diarios automáticos: con un remanente de copias no inferior a un mes de almacenamiento. Además del backup standar, es recomendable añadir backups instantáneos o snapshots, que permitan a los clientes realizar copias en momentos específicos del día, ya sea por actualizaciones de contenido o cambios en el software. La recuperación del contenido en ambos tipos de backup, se ha de realizar a través de panel de control sin intervención del equipo del proveedor de hosting, y pudiendo elegir el tipo de recuperación de datos oportuna ( email, contenido web, base de datos, recuperación total).

  • Actualizaciones automáticas de núcleo del CMS, plugins o módulos, y temas: Las actualizaciones automáticas se han mostrado como una forma muy eficaz de proteger los proyectos en Internet de los clientes, permiten que el porcentaje anual de sitios web infectados vaya disminuyendo paulatinamente. Las actualizaciones automáticas permiten a usuarios sin experiencia poder mantener una configuración más segura de sus proyectos en Internet.

  • Generación de contraseñas fuertes: Scripts que facilitan al cliente generar contraseñas fuertes y blindadas en cualquier momento, además de incluir la opción de doble autenticación.

  • Control de acceso a la cuenta de hosting: diferentes tipos de roles de acceso configurables y revocables desde el propio panel de control. De esta forma se evita que colaboradores externos en proyectos web puedan acceder a datos bancarios del cliente, creación de direcciones de email, y viceversa.

  • Certificados SSL Let´s Encrypt (o de cualquier otro tipo): Let´s Encrypt es SSL gratuito, prácticamente todos los proveedores de hosting lo están ofreciendo. Es obligatorio que las webs tengan instalado uno, por lo que el proveedor de hosting ha de facilitar esa labor, automatizándola en la medida de lo posible. El resto de certificados SSL son también bienvenidos, aunque técnicamente sus características son idénticas.


En cuanto a las capas de protección standard en cualquier servicio de hosting, ahora también se hace obligatoria la presencia de un firewall de aplicaciones web (WAF) de nivel siete, ya que nos permite filtrar y gestionar especificamente el tráfico que va dirigido a esos sitios web creados con CMS´s como WordPress. Un firewall de aplicaciones web ha de estar en continua actualización, para ir añadiendo las diferentes reglas que surgen según se van conociendo vulnerabilidades, así como localizar y filtrar cualquier tipo de tráfico malicioso.


Entraríamos ahora en el apartado de servicios de terceros, en los que recomiendo la integración de servicios de CDN (Content Delivery Network) en el panel de control de los usuarios. Un servicio de CDN a nivel DNS es importante, porque en lo relativo a la seguridad nos aporta sus propias soluciones para tratar los ataques de denegación de servicio, su propio servicio HTTPS y su WAF principalmente. Una capa extra de seguridad a tener en cuenta.


Si el proveedor de hosting por razones de producto y de servicio, no puede ofrecer servicios de limpieza de páginas web o de securización de las mismas, es conveniente que forje una alianza con un tercero que ofrezca estos servicios. De esta forma el cliente tiene a su disposición todo lo necesario en medidas preventivas y correctivas que a priori puedan estar fuera de su alcance.¿Son éstas todas las recomendaciones de seguridad para un proveedor de hosting especializado en CMS? No, podemos decir que esto sería un resumen de las más importantes y nombradas a diario. Pero si hay algo que completa a toda esta lista es el soporte técnico, y el equipo técnico especialista en seguridad.


Un equipo de soporte técnico de respuesta inmediata, en horario 24×7, en tu propio idioma (multilingüe mejor), y disponible a través de varios canales, teléfono, chat, tickets, email. Un equipo de soporte que tenga claros los protocolos de actuación frente a incidencias de seguridad y sepa cómo reaccionar. Un proveedor de hosting con experiencia además, debería disponer de una base de conocimiento pública y unos procedimientos de actuación perfectamente establecidos, que permitan solventar las incidencias rápidamente y de forma certera, que es lo que realmente los clientes esperan de un proveedor de hosting.


Los departamentos de seguridad en un proveedor de hosting especializado tienen ante sí, un gran reto. También pueden aprovechar una de las características de los proyectos Open Source, y es que la comunidad de desarrolladores y colaboradores que los crea y soporta, son capaces de crear parches que tratan invulnerabilidades con tiempos de respuesta especialmente cortos. No es nada extraño ver que los propios departamentos de seguridad de las empresas de hosting especializadas escriban parches día cero en pocas horas, y así poder solucionar vulnerabilidades antes incluso que la propia comunidad WordPress, cuyos tiempos de respuesta son también bastante cortos


Para terminar, un proveedor de hosting especializado en WordPress debe facilitar a sus clientes información actualizada en diferentes formatos, en los que pueda aprender a cumplir las normas de seguridad básicas, y no tan básicas. Libros electrónicos, videos, tutoriales, mini tutoriales, artículos, en diversos formatos. Y respecto a sus empleados, formación continua y continuo contacto con la comunidad WordPress a través de sus eventos e iniciativas, para poder empaparse de la cultura de este CMS y conocer de mano de sus creadores, la comunidad WordPress.


Fuente: José Ramón Padrón, Country Manager de SiteGround

No hay comentarios: